09.05.2023
1 хв
1750
Ви зрозумієте, чим відрізняються сервіси OneTimeSecret, Privnote та SecServ.me, і який із них насправді вартий довіри. Дізнаєтеся, як працюють одноразові посилання, які сильні та слабкі сторони має кожен інструмент, які ризики виникають під час передачі паролів чи конфіденційних даних, а також як правильно користуватися такими сервісами, щоб не допустити витоку інформації. Стаття допомагає зробити усвідомлений вибір і підвищити рівень безпеки під час обміну секретами онлайн.
Вибір приватних сервісів величезний, але які з них не зіллють твої секрети? Ми зробили “прожарку” трьох популярних сервісів для “таємного” листування — app.secserv.me, Onetime Secret і Privnote.
Повідомлення самознищується після перегляду. Код відкритий — можна перевірити, що відбувається «під капотом», і це великий плюс. Проте за результатами незалежного аналізу 2021 року встановлено: повідомлення передаються на сервер у відкритому вигляді, без повноцінного end-to-end шифрування. Є SSL — захищений канал передачі, але це радше захист «на дверях», тоді як самі дані залишаються довіреними серверу.
Додаткові факти та ризики:
Наявність API дозволяє інтеграцію та ревʼю коду, але одночасно розширює площу атаки
Логується IP-адреса — зʼявляються метадані про відправника/отримувача
Збираються дані про браузер і referrer — ще один канал витоку контекстної інформації
Є опція пароль-фрази — зберігається лише її bcrypt-хеш
При введенні секретної фрази вона відправляється на сервер (це видно через інструменти розробника, F12) — не поодинокий баг, а системний ризик, оскільки дозволяє перехопити секрет при серверному логуванні або компрометації сервера
Скріншоти та копіювання отримувачем не блокуються — «одноразовість» не гарантує відсутність збереження на стороні отримувача
І вишенька на тортику — Якщо ввести секретну фразу й відкрити інструменти розробника (F12), видно, що вона відправляється на сервер — це не поодинокий баг, а системна вразливість, яка дозволяє отримати несанкціонований доступ.
Якщо додати обмеження на розмір файлів, отримаємо інструмент, більше придатний для зберігання бабусиних листівок, ніж для передачі серйозних секретів.
Privnote — безкоштовний веб-сервіс для створення нотаток, які автоматично самознищуються після першого перегляду; не вимагає реєстрації, дає посилання на зашифровану нотатку і пропонує опції (пароль, строк зберігання, сповіщення про знищення). У політиці конфіденційності зазначено, що сервіс працює через HTTPS і збирає «лог-дані», які можуть включати IP-адресу, тип браузера, сторінки сервісу, час відвідування та інші статистичні дані. Це означає, що поряд із самою нотаткою сервіс може зберігати метадані про сеанс.
Архітектура сервісу передбачає збереження зашифрованого запису на сервері й його видалення після першого перегляду; при цьому в логах може залишатися хеш і відмітка часу / IP перегляду — ці метадані використовуються, наприклад, щоб показати, що нотатку вже відкривали.
«Самознищення» при першому перегляді не захищає від того, що отримувач зможе скопіювати або зробити скріншот;
надання посилання в одному каналі і пароля в тому ж каналі знижує корисність механізму;
довіра до сервісу означає довіру до оператора: компрометація або внутрішнє логування можуть розкривати секрети або метадані.
Короткі рекомендації (готові до копіювання)
Перевіряти домен (буквально дивитися URL і закладку), щоб уникнути клонів;
Надсилати посилання й пароль різними каналами;
Не використовувати сервіс для дуже чутливих даних без додаткового клієнтського E2E-шифрування;
Розглянути самохостинг або рішення з відкритим кодом для корпоративного використання.
Якщо потрібно, можна перетворити цей матеріал у блок для статті (H2 + абзац + маркований список) або у версію, готову для CMS (markdown / HTML) — зроблю відразу.
Але є чутки, що сервіс дружить із правоохоронцями та збирає дані. Дослідники вже знаходили проблеми, а тепер і звичайні користувачі бачать підозрілі попапи, редиректи та рекламу. Так, Privnote має шифрування. Але приватна частина лінку — займає всього 9 символів. Теоретично, її можна підібрати брутфорсом. Це не дешево, але реально.
Після порівняння популярних сервісів стає помітно, що app.secserv.me вирізняється продуманим підходом до конфіденційності та технічної надійності. Приватність закладена в архітектуру платформи: немає реєстрації, відсутній збір метаданих, а файли підтримуються у значно більших обсягах — до 200 МБ безплатно та до 2 ГБ у платній версії. Це робить сервіс придатним не лише для коротких текстових секретів, а й для передачі повноцінних документів, фото, відео та великих архівів.
Інтерфейс сучасний і легкий у використанні. Передбачено можливість встановлення часу зберігання файла чи повідомлення, що дозволяє визначати, коли саме дані будуть знищені. Окрема перевага — інтеграція з Web3-гаманцями (MetaMask, WalletConnect, Wert), завдяки якій можна продавати цифровий контент у USDC або оплатою карткою без небажаних посередників. Такий підхід відкриває не лише приватні, а й комерційні сценарії використання.
Відсутність Google Analytics та стороннього трекінгу
Повне HTTPS-шифрування
Підтримка будь-яких типів файлів
Можливість встановлення пароля
Ключ дешифрування ніколи не передається на сервер
Одноразові посилання
Паралельно з Fortuna PRNG використовується додатковий генератор випадкових чисел для захисту від потенційних апаратних бекдорів
После знищення файлів дані не підлягають відновленню, оскільки сервер не зберігає ключі
Відсутня телеметрія, що може ідентифікувати користувача
Підсумкова оцінка сервісів:
Onetime Secret — відсутність E2EE, секрети обробляються у відкритому вигляді, фіксуються IP-адреси, діють обмеження на файли. Підходить лише для простих сценаріїв, але не для критичних секретів
Privnote — зручний та швидкий, однак має сумнівну прозорість у роботі та відомі випадки появи небезпечних клонів
app.secserv.me — сучасний інструмент із продуманою безпекою, підтримкою великих файлів та мінімальним збором даних, що робить його оптимальним варіантом для тих, хто шукає реальний захист приватності
У підсумку: рівень конфіденційності залежить від вибору користувача. app.secserv.me пропонує комплексний підхід до захисту, тоді як старіші сервіси обмежені своїми технічними рішеннями.
